Le SOC managé : fonctionnement et bénéfices

Le SOC, la pièce maîtresse de votre cybersécurité

Le Security Operations Center (SOC), autrement appelé Centre des Opérations de Sécurité en français, est au sein d’une entreprise, le département dédié à la sécurisation du système d’information. Son rôle est de mettre en place des processus et des solutions unifiés afin d’améliorer la détection et la remédiation des menaces qui ciblent son organisation. Sa principale mission : analyser et répondre aux incidents de sécurité en temps réel, 24 heures sur 24, 7 jours sur 7.
Le SOC est aujourd’hui le moyen le plus populaire et le plus efficace pour garantir une posture de défense robuste et pallier une surface d’attaque de plus en plus complexe, en perpétuelle évolution.

Activités d’un Centre des Opérations de Sécurité

Outillage et veille

Pour détecter au mieux les menaces potentielles, les équipes SOC ont parmi leurs différentes missions, la lourde tâche de sélectionner différentes solutions technologiques susceptibles de les aider efficacement dans leur quotidien. SOAR, analyse de malwares, règles de détections personnalisées… Cet outillage interne, qui est propre à chaque SOC, est essentiel pour améliorer les capacités de surveillance et de remédiation et permettre à l’organisation, de contrer les menaces de demain.
La veille joue en effet un rôle de premier plan. Les méthodes d’attaques et les malwares évoluent constamment. Il est primordial pour les analystes de faire une veille régulière et en profondeur des menaces qu’ils pourraient rencontrer par la suite.
Il est aussi préférable de former régulièrement ses équipes aux solutions qu’elles utilisent. Avoir une équipe certifiée sur différentes technologies est un gage d’expertise et de savoir-faire au quotidien.

Surveillance à 360° en continu

Le travail quotidien des analystes repose fondamentalement sur la surveillance d’un système d’information. Dans tous les cas, quelles que soient les solutions implémentées dans l’entreprise (Endpoint Detection & Response, gestion de terminaux mobiles, analyse réseau, etc.), le SOC devra superviser des vecteurs distincts.
En cas d’alerte, celle-ci va directement remonter sur une plateforme SIEM ou SOAR et être traitée :

• De manière automatique: selon la nature de l’alerte, elle va être traitée par un ou plusieurs playbooks et être catégorisée comme étant un événement à risque, ayant besoin d’être analysé, à caractère bénin, etc.
• Par un analyste : si une menace semble avérée, un analyste pourra alors investiguer plus en détails sa source d’origine, son fonctionnement… afin de la catégoriser avec la plus grande précision possible.

Amélioration continue

En cas d’incident, l’équipe SOC mettra en place différentes actions pour que ledit incident ne se reproduise pas. Parmi celles-ci, les analystes auront pour mission de configurer leurs outils afin de mieux gérer ce type de vulnérabilités dans le futur. Ils pourront également réviser leur plan de réponse à incident. Dans ce cas de figure, des personnes de l’équipe CSIRT (Computer Security Incident Response Team) seront directement impliquées.

Le SOC managé, ça change quoi ?

Fonctionnement

Toutes les entreprises sont la cible potentielle des pirates. Il semble donc pertinent que toutes puissent bénéficier des avantages et des capacités d’une équipe SOC. Malheureusement, la barrière à l’entrée est particulièrement élevée : coût opérationnel important, ressources humaines rares, interactions complexes avec les éditeurs de solution dont ce n’est pas la vocation première, etc.
Une solution existe. Avec le « Managed SOC » ou SOC managé, un partenaire externe administre pour vous, vos solutions de sécurité. Ces prestataires de services sont souvent connus sous l’acronyme « MSSP », Managed Security Service Provider.
Grâce au Security Operations Center externalisé, vous bénéficiez d’une surveillance en continu de votre système d’information sans avoir à investir massivement dans la formation d’analystes, les infrastructures, les logiciels, etc.

Les avantages

Assurance de la continuité des activités

Les équipes SOC jouent un rôle crucial dans la réduction des incidents de sécurité et la limitation de leurs impacts. Quel que soit le domaine d’activité, elles contribuent à limiter au maximum les interruptions des opérations commerciales et de production, préservant ainsi votre image, la productivité et la satisfaction des clients.

Conformité aux réglementations

Le Centre des Opérations de Sécurité aide aussi les entreprises à se conformer aux réglementations légales, françaises ou européennes, et aux standards de l’industrie en matière de cybersécurité (RGPD, NIS 2, DSP 2, norme ISO…). Ils mettent en place des mesures de sécurité adéquates et tiennent des registres détaillés des incidents ainsi que des réponses apportées.

Optimisation des coûts

Le coût d’un SOC internalisé (Security Operations Center) pour une entreprise, est évalué entre 2 à 6,5 millions d’euros par an. Une somme stratosphérique pour bon nombre d’entreprises françaises quand on sait que sur le territoire, 50% de la valeur ajoutée serait créée par les PME et les ETI.
Résultat : de nombreuses équipes informatiques et de sécurité font appel à un SOC externalisé.

Le SOC SNS SECURITY, votre tour de surveillance

Parce que la sécurité informatique est l’affaire de tous, le coût opérationnel qui représente une gigantesque barrière à l’entrée a toutefois permis l’émergence d’un nouveau type de SOC, plus adapté au tissu économique national. Car toutes les entreprises, les plus petites comme les grandes, sont confrontées quoi qu’il advienne à la nécessité d’éloigner les menaces susceptibles de les fragiliser.
C’est pour cela que SNS SECURITY a développé son offre de SOC managé.
SNS SECURITY a créé son SOC en 2017 avec la signature d’un partenariat exclusif avec SENTINELONE dont la technologie EPP/EDR a été rapidement désignée comme étant la plus visionnaire de son segment par le Gartner. En 2021, nous choisissons d’aller encore plus loin en nous rapprochant de l’éditeur SEKOIA, nouvelle licorne française. Cette union donnera naissance à l’offre de service [S]GUARD autour de l’XDR.
Depuis, notre SOC a connu plusieurs évolutions, toutes cherchant à servir nos clients, au plus près de leurs besoins. En l’espace de quelques années, nous avons constitué une équipe de 35 analystes de haut vol, entièrement dédiés à la supervision en 24/7 des postes de travail, serveurs, réseaux, mobiles et IoT… L’histoire n’en est qu’à ses débuts.

Découvrez notre équipe SOC et son fonctionnement.

Pour en savoir plus sur notre équipe SOC et nos analystes qui la composent, nous vous invitons à regarder la rediffusion de notre webinar du 19 septembre 2024 sur notre chaine WEBIKEO. Vous aurez le plaisir d’écouter Christian MILAN, notre Directeur SOC, ainsi que Sébastien MIGUEL, Team Leader CSIRT. Ils ont eu à cœur de vous offrir des insights précieux sur notre SOC, de sa création aux évolutions à venir. Au programme, chiffres et bénéfices clés, roadmap, actualité CSIRT, …